CVE-2026-1378WordPress插件WP Posts Re-order在所有版本(包括1.0)中存在跨站请求伪造(CSRF)漏洞。该漏洞的根本原因在于`cpt_plugin_options()`函数缺少必要的nonce验证机制。未经身份验证的远程攻击者可以通过诱导站点管理员点击特制的恶意链接,利用伪造的请求更新插件的关键设置,包括能力、自动排序和管理后台排序设置。尽管该攻击需要用户交互,但无需预先认证即可发起,可能导致插件配置被恶意篡改,对网站的完整性构成威胁。
该漏洞的核心原理在于WordPress插件开发中未能正确实施CSRF防护。在`cpt_plugin_options()`函数处理插件设置更新时,系统未检查用于验证请求合法性的Nonce令牌。在正常的WordPress交互中,Nonce用于确保请求是由当前用户在当前会话中发起的。由于此验证缺失,攻击者可以构建一个恶意的HTML页面或包含特制URL的链接,该链接携带用于修改插件参数(如capability、autosort、adminsort)的Payload。当已登录的管理员被诱骗点击此链接时,浏览器会自动附带管理员的身份凭证(Cookie)向服务器发送请求。服务器接收到请求后,因缺少Nonce校验,将其视为管理员本人的合法操作并执行设置更新,从而导致权限或配置被篡改。